德國 19 歲駭客 David Colombo 發現,可以透過第三方開源軟體中的一項漏洞,遠距操控全球 25 輛特斯拉,包括關掉 Sentry Mode(哨兵模式)、開關車門或鳴笛,同時又注意到特斯拉數位車鑰匙軟體中存在漏洞,能夠獲得這些車主的電子信箱。
Colombo 表示,該漏洞存在於特斯拉一個應用程式介面(API),主要是在免費軟體 TeslaMate 中發現這個漏洞,做為自託管形式的網路儀表板,許多特斯拉車主用來連接車載系統,通常在車主的家用電腦上運行,並透過特斯拉 API 來訪問與車主帳戶相關的車載數據。
但由於網路儀表板中的一個安全漏洞,允許駭客訪問和使用一些用戶從未修改過的默認密碼、再加上車主的錯誤配置,導致數百個 TeslaMate 儀錶板資訊直接暴露於網路上,包括特斯拉去過的地方、充電地點、目前位置、行駛速度等,其中還有沒加密的 API 金鑰。
▲ 特斯拉 Model Y 在加州行駛。(Source:David Colombo 部落格)
▲ 特斯拉在歐洲開車。(Source:David Colombo 部落格)
Colombo 發現後,在發現第一項漏洞後決定通知車主這件事情,其中一位 Twitter 網友建議,可以從兩個軟體相互通訊的代碼中找到受害車主的詳細聯絡方式,這個方法被稱之為端點「Endpoint」,也就是 API 特定接口的位址。因此他透過這方法找到車主的電子信箱,通知他們有危險。
隨後 Colombo 再將這些漏洞分享給特斯拉,目前特斯拉工程師已經編寫修復程式,該漏洞無法再被公開利用。
Colombo 接受採訪時指稱,受影響的汽車數量可能更高,遍布英美、歐洲、中國、加拿大等市場,還能夠看出車主的旅行路線。而特斯拉沒有對此多做回應。
- How I got access to 25+ Tesla’s around the world. By accident. And curiosity.
- Teen Tesla Hacker Accessed Owners’ Email Addresses to Warn Them
(首圖來源:shutterstock)
